Webadmin port listening on all external sub-interfaces

Just tried to check for the normal webadmin port being opened on v9 and its closed. No firewall rules for it here.

Under management - Webadmin settings - Make sure you don't have your wan in the allowed interfaces.

Come to find out - even adding a drop/reject rule to prevent traffic to the webadmin port with specific destinations DOES NOT DROP THE PACKET. There must be an implicit permit rule that is added before all others that is not visible and based on the networks you specify in management/webadmin.

The gotcha - I want to permit ANY source to access webadmin but only on the WAN interface - not all of the sub-interfaces. ANY is in the management/webadmin allow networks.

The gotcha - I want to permit ANY source to access webadmin but only on the WAN interface - not all of the sub-interfaces. ANY is in the management/webadmin allow networks.

If you just want to allow traffic from the WAN, try using the "Internet" object instead of ANY.

Hi, robayer, and a belated welcome to the User BB!

You'll never go wrong following dilandau's suggestions!

Come to find out - even adding a drop/reject rule to prevent traffic to the webadmin port with specific destinations DOES NOT DROP THE PACKET.

This seems to be an error, but it's not.  Just remember that, for incoming traffic, DNATs are before WebAdmin, VPNs and Proxies, then come manual Firewall rules and Routes.

In order to block specific traffic before it is allowed access to WebAdmin from an allowed network, you need to use a DNAT like '{blocked internal IPs} -> WebAdmin -> Internal (Address) : DNAT to {nonexistant IP}'.  Notice the use of the "Internal (Address)" object - it was created by WebAdmin when the Internal interface was defined.

Cheers - Bob

This seems to be an error, but it's not.  Just remember that, for incoming traffic, DNATs are before WebAdmin, VPNs and Proxies, then come manual Firewall rules and Routes.

You sure about that? From what I see, WebAdmin is before DNAT

I have the follow setup:

UTM with:
Primary public  IP bound to interface  "External (WAN)"
second public ip bound to interface "External (WAN)" as additional ip
third public ip bound to interface "External (WAN)" as additional ip
/32 was used for additionals per threads here (no idea why)
They show in rules as:
"External (WAN 1) Address"
"External (WAN 1) [External (WAN 2)] Address"
"External (WAN 1) [External (WAN 3)] Address"
"External (WAN 1) Network"
etc..
 
SUM server behind UTM:
Sum has SINGLE interface with LAN IP
WebAdmin 4444
UTM Manager 4433
Gateway 4422



NOTES 1: The UTM WebAdmin interface ONLY works from external if "ANY" or "INTERNET" is used in allowed networks. If instead the external address or additional external addresses are explicity used, the WebAdmin traffic WILL NOT pass and IS NOT logged in the firewall log. Am I missing something here?  

NOTE 2: DNAT rules for ports (RDP, FTP, WHATEVER) appear to be working for the external IP and additional IPs. I can send RDP to specific hosts, based on the external IP the traffic hit.


No big deal, as I don't really need to expose WebAdmin to the public internet... but that said, should I not be able WebAdmin to the UTM at the primary public and WebAdmin to the SUM using DNAT from a secondary?

NOTES 1: The UTM WebAdmin interface ONLY works from external if "ANY" or "INTERNET" is used in allowed networks. If instead the external address or additional external addresses are explicity used, the WebAdmin traffic WILL NOT pass and IS NOT logged in the firewall log. Am I missing something here? 

The Allowed networks box is for the source of the traffic, not the destination.  For example, if you were to remove the Internet and Any definitions and added a host definition with my WAN IP, I would be able to reach your WebAdmin (if you gave me the IP and port, of course).

If you want to block WebAdmin from usage on the additional addresses, use Blackhole DNAT.

From:  Internet
Service:  WebAdmin 
To:  Network Group containing "External (WAN 1) [External (WAN 2)] Address" & "External (WAN 1) [External (WAN 3)] Address"
Change Destination:  Host definition with a non-existant address.

Tick Automatic Firewall Rule
Order the rule to number 1, top of the list, so it is evaluated first.

The Allowed networks box is for the source of the traffic, not the destination.  For example, if you were to remove the Internet and Any definitions and added a host definition with my WAN IP, I would be able to reach your WebAdmin (if you gave me the IP and port, of course).

 So my understanding of the functionality of the allowed networks was in error... fair enough but somewhat counter intuitive in context to the firewall and NAT rule nomenclature and function.

If you want to block WebAdmin from usage on the additional addresses, use Blackhole DNAT.

From:  Internet
Service:  WebAdmin 
To:  Network Group containing "External (WAN 1) [External (WAN 2)] Address" & "External (WAN 1) [External (WAN 3)] Address"
Change Destination:  Host definition with a non-existant address.

Tick Automatic Firewall Rule
Order the rule to number 1, top of the list, so it is evaluated first.

Makes sense, but from an understanding perspective why can't I forward 4444 on the second IP to to the SUM?

Makes sense, but from an understanding perspective why can't I forward 4444 on the second IP to to the SUM?

I believe that'd work with a DNAT and a firewall rule.

Barry

I've tried out your Suggestion bith the "Blackhole" dnat, but it doesn't work as expected. I still can reach the webadmin on any external address.
As non existing address I took the 1.1.1.1, is this ok, or do you Need to take an address from the range of the utms Networks?
Any idea?